在一些业务场景下,我们经常需要实现一些h【版权所有,侵权必究】【本文受版权保护】ash摘要来进行浏览器到服务端的验证逻辑转载请注明出处:www.tangshuang.net转载请注明出处:www.tangshuang.net,但是如果载入第三方库,我们又需要避免该著作权归作者所有,禁止商业用途转载。本文作者:唐霜,转载请注明出处。库被攻击,而nodejs自带的crypt【访问 www.tangshuang.net 获取更多精彩内容】【本文受版权保护】o模块可以实现加密解密,却无法在浏览器端【访问 www.tangshuang.net 获取更多精彩内容】转载请注明出处:www.tangshuang.net找到对等的实现。其实,浏览器端早就提供了【版权所有】唐霜 www.tangshuang.net【作者:唐霜】 Web Crypto API,我们就可【转载请注明来源】【作者:唐霜】以利用浏览器原生的接口来实现摘要hash转载请注明出处:www.tangshuang.net著作权归作者所有,禁止商业用途转载。啦,这样无论是在性能上,还是安全性上,都著作权归作者所有,禁止商业用途转载。转载请注明出处:www.tangshuang.net是最优解。
【作者:唐霜】【版权所有】唐霜 www.tangshuang.net
从caniuse反应的兼容性看,大部分浏【版权所有】唐霜 www.tangshuang.net本文作者:唐霜,转载请注明出处。览器都已经支持了,只要不使用低版本浏览器【未经授权禁止转载】【版权所有,侵权必究】,都是可以放心使用的。当然,如果一定要支未经授权,禁止复制转载。【原创内容,转载请注明出处】持,可以使用第三方库兜底。
【版权所有】唐霜 www.tangshuang.net本文作者:唐霜,转载请注明出处。【关注微信公众号:wwwtangshuangnet】让我们来认识一下 Web Crypto API。
【关注微信公众号:wwwtangshuangnet】本文作者:唐霜,转载请注明出处。【版权所有】唐霜 www.tangshuang.netWeb Crypto API
Web Crypto API 是一组以构【未经授权禁止转载】【关注微信公众号:wwwtangshuangnet】建密码学系统为目标的让脚本可以使用原生加【本文首发于唐霜的博客】转载请注明出处:www.tangshuang.net密算法的接口。在浏览器端,它主要提供了两本文作者:唐霜,转载请注明出处。本文版权归作者所有,未经授权不得转载。套和密码学关联的体系:random 和 【未经授权禁止转载】著作权归作者所有,禁止商业用途转载。subtle。从名字就可以看出,rand【原创内容,转载请注明出处】【版权所有】唐霜 www.tangshuang.netom负责随机算法,也就是说,基于Web 本文作者:唐霜,转载请注明出处。【版权所有,侵权必究】Crypto API我们可以在浏览器端实本文作者:唐霜,转载请注明出处。未经授权,禁止复制转载。现真正的随机,而不是Math.rando【版权所有】唐霜 www.tangshuang.net本文作者:唐霜,转载请注明出处。m这种伪随机。subtle则负责像has【关注微信公众号:wwwtangshuangnet】原创内容,盗版必究。h、签名、加密、解密等密码学处理。
【版权所有,侵权必究】【关注微信公众号:wwwtangshuangnet】【转载请注明来源】于此同时,由于它非常靠近原生底层,因此,原创内容,盗版必究。未经授权,禁止复制转载。它的接口使用时,大部分都会以ArrayB本文版权归作者所有,未经授权不得转载。【转载请注明来源】uffer作为参数。因此,如果你要使用它原创内容,盗版必究。著作权归作者所有,禁止商业用途转载。,你最好还了解ArrayBuffer相关【转载请注明来源】【本文受版权保护】的使用方法,以在使用时,可以更熟练的实现著作权归作者所有,禁止商业用途转载。未经授权,禁止复制转载。字符串、数值和buffer之间的转换。而转载请注明出处:www.tangshuang.net未经授权,禁止复制转载。buffer又是可以在网络间传输的,因此【访问 www.tangshuang.net 获取更多精彩内容】【原创不易,请尊重版权】,我们又可以把buffer发送到服务端保【本文首发于唐霜的博客】【本文受版权保护】存,实现各种签名与验证。
【未经授权禁止转载】原创内容,盗版必究。我把相关知识点梳理为一张知识导图,方便你本文作者:唐霜,转载请注明出处。著作权归作者所有,禁止商业用途转载。梳理:
【访问 www.tangshuang.net 获取更多精彩内容】转载请注明出处:www.tangshuang.net
可以看到,要全面掌握Web Crypto本文作者:唐霜,转载请注明出处。本文版权归作者所有,未经授权不得转载。 API也并不难,因为它只提供了底层的实未经授权,禁止复制转载。【作者:唐霜】现,而要设计出完整的密码学系统,则需要有本文作者:唐霜,转载请注明出处。【原创内容,转载请注明出处】更丰富的密码学知识,简单靠这些API是不原创内容,盗版必究。本文作者:唐霜,转载请注明出处。可能真正做到安全的。既然如此,那我们用它【版权所有】唐霜 www.tangshuang.net未经授权,禁止复制转载。们有什么用呢?当然有用,因为设计密码学系【原创内容,转载请注明出处】著作权归作者所有,禁止商业用途转载。统的,往往是后端的安全侧的工程师,当他们【原创不易,请尊重版权】【访问 www.tangshuang.net 获取更多精彩内容】需要前端同学完成某些密码学处理时,我们有著作权归作者所有,禁止商业用途转载。未经授权,禁止复制转载。了这部分知识,才能快速实现我们的需求,如本文版权归作者所有,未经授权不得转载。【访问 www.tangshuang.net 获取更多精彩内容】果没有掌握这些API,没有理解其中的规律【版权所有】唐霜 www.tangshuang.net【版权所有,侵权必究】,那么很难快速完成业务需求。
本文作者:唐霜,转载请注明出处。【本文受版权保护】原创内容,盗版必究。两端对齐的HASH摘要实现
回到我们的题目中,我们题目的使用场景是前【版权所有,侵权必究】【访问 www.tangshuang.net 获取更多精彩内容】端需要将摘要hash发送给后端,后端对该本文作者:唐霜,转载请注明出处。【原创不易,请尊重版权】hash进行验证,验证通过后才予以后续处未经授权,禁止复制转载。【转载请注明来源】理。如果我们设计一套密码学系统,那么这里转载请注明出处:www.tangshuang.net转载请注明出处:www.tangshuang.net不仅需要使用密钥、签名、导出、加密等等,本文版权归作者所有,未经授权不得转载。【版权所有】唐霜 www.tangshuang.net还要在这些基础的API使用之上,设计一套【原创内容,转载请注明出处】【访问 www.tangshuang.net 获取更多精彩内容】前后端对齐的加密协议,否则不可能做到真正著作权归作者所有,禁止商业用途转载。未经授权,禁止复制转载。安全的加密验证。要完成如此复杂的设计,对转载请注明出处:www.tangshuang.net【未经授权禁止转载】于前端同学来说,是很难的,因此,我们能够未经授权,禁止复制转载。【作者:唐霜】通过hash进行验证,就是不错的一种尝试原创内容,盗版必究。【原创不易,请尊重版权】了。
著作权归作者所有,禁止商业用途转载。【本文受版权保护】【版权所有,侵权必究】市面上比较多情况下,会习惯使用md5摘要【原创不易,请尊重版权】原创内容,盗版必究。,但是Web Crypto API中没有【原创不易,请尊重版权】【访问 www.tangshuang.net 获取更多精彩内容】提供直接的md5摘要算法,因此,我们只能转载请注明出处:www.tangshuang.net【转载请注明来源】从众多SHA算法中挑一个。
【版权所有,侵权必究】【作者:唐霜】【访问 www.tangshuang.net 获取更多精彩内容】【转载请注明来源】此外,我们还必须对ArrayBuffer【转载请注明来源】【作者:唐霜】有较多的了解,因为这些API要实现算法,【版权所有】唐霜 www.tangshuang.net著作权归作者所有,禁止商业用途转载。都需要借助ArrayBuffer来进行内【原创内容,转载请注明出处】原创内容,盗版必究。存级别的运算,它们都是较低级别的接口。因【本文首发于唐霜的博客】转载请注明出处:www.tangshuang.net此,想得到我们习惯的使用方式,还得进行封【原创不易,请尊重版权】原创内容,盗版必究。装。接下来,我们来实现一个简易的hash著作权归作者所有,禁止商业用途转载。【版权所有】唐霜 www.tangshuang.net函数:
本文作者:唐霜,转载请注明出处。本文作者:唐霜,转载请注明出处。【关注微信公众号:wwwtangshuangnet】async function sha(str) {
const encoder = new TextEncoder();
const data = encoder.encode(str);
const hashBuffer = await crypto.subtle.digest("SHA-256", data);
const hashArray = Array.from(new Uint8Array(hashBuffer)); // convert buffer to byte array
const hashHex = hashArray
.map((b) => b.toString(16).padStart(2, "0"))
.join(""); // convert bytes to hex string
return hashHex;
}
我们用SHA-256算法实现了一个摘要函【访问 www.tangshuang.net 获取更多精彩内容】【版权所有】唐霜 www.tangshuang.net数sha,这样,我们就可以在浏览器端对我【原创不易,请尊重版权】【本文受版权保护】们想要的文本获取它的hash。
【作者:唐霜】本文版权归作者所有,未经授权不得转载。【版权所有,侵权必究】接下来,我们来到nodejs这一端。
【本文受版权保护】【原创内容,转载请注明出处】由于Web Crypto API是底层原【版权所有】唐霜 www.tangshuang.net著作权归作者所有,禁止商业用途转载。生实现,因此它可以被移植(,类似的可以被原创内容,盗版必究。【访问 www.tangshuang.net 获取更多精彩内容】移植到原生模块,其实有很多,就看node著作权归作者所有,禁止商业用途转载。【作者:唐霜】js官方愿不愿意去做)。nodejs通过【关注微信公众号:wwwtangshuangnet】【本文受版权保护】crypto模块暴露了webcrypto【本文受版权保护】【原创内容,转载请注明出处】接口,而该接口就提供了和浏览器端相同的实【访问 www.tangshuang.net 获取更多精彩内容】本文作者:唐霜,转载请注明出处。现。接下来,我们就来实现一个与上面的sh【本文受版权保护】【未经授权禁止转载】a函数具有相同功能的nodejs函数:
【本文受版权保护】未经授权,禁止复制转载。【原创内容,转载请注明出处】const { webcrypto } = require('crypto');
const { TextEncoder } = require('util');
async function sha(str) {
const encoder = new TextEncoder();
const data = encoder.encode(str);
const hashBuffer = await webcrypto.subtle.digest("SHA-256", data);
const hashArray = Array.from(new Uint8Array(hashBuffer)); // convert buffer to byte array
const hashHex = hashArray
.map((b) => b.toString(16).padStart(2, "0"))
.join(""); // convert bytes to hex string
return hashHex;
}
你会发现,我们几乎可以原封不动的把浏览器原创内容,盗版必究。【未经授权禁止转载】端的代码移植过来,如果做好封装,甚至可以【原创不易,请尊重版权】【关注微信公众号:wwwtangshuangnet】实现代码同构,只要把subtle对象作为【本文首发于唐霜的博客】原创内容,盗版必究。参数传入即可。
著作权归作者所有,禁止商业用途转载。【转载请注明来源】【作者:唐霜】如此一来,我们就可以做到,当后端同学需要【作者:唐霜】转载请注明出处:www.tangshuang.net我们在前端处理并发送一个hash时,可以【原创不易,请尊重版权】转载请注明出处:www.tangshuang.net用相同的实现来处理了。而且由于我们使用了【作者:唐霜】著作权归作者所有,禁止商业用途转载。原生接口,无论是性能,还是安全性上,都比本文版权归作者所有,未经授权不得转载。转载请注明出处:www.tangshuang.net使用第三方纯代码实现的库要好。
【版权所有】唐霜 www.tangshuang.net转载请注明出处:www.tangshuang.net结语
本文带你了解了Web Crypto AP未经授权,禁止复制转载。未经授权,禁止复制转载。I,让你知道可以通过nodejs的原生模原创内容,盗版必究。本文作者:唐霜,转载请注明出处。块实现浏览器和服务端完全相同的摘要算法。【原创不易,请尊重版权】【关注微信公众号:wwwtangshuangnet】不过,本文仅仅是一个知识的抛砖引玉,在实著作权归作者所有,禁止商业用途转载。未经授权,禁止复制转载。际业务中,我们需要去学习密码学知识,去研【版权所有,侵权必究】【版权所有,侵权必究】究优秀的第三方库和开源项目,了解业界是怎著作权归作者所有,禁止商业用途转载。【关注微信公众号:wwwtangshuangnet】么利用密码学设计来保障系统的安全的。实际转载请注明出处:www.tangshuang.net原创内容,盗版必究。上,在其他语言中,往往提供了丰富的密码学【作者:唐霜】【转载请注明来源】模块,例如我们经常遇到带盐(salt)的摘要或加密,例如我们需要在客户端和服务转载请注明出处:www.tangshuang.net未经授权,禁止复制转载。端之间交换公钥,例如我们需要设计自己的s本文作者:唐霜,转载请注明出处。【原创内容,转载请注明出处】ession,诸如此类,就目前而言,JS【原创内容,转载请注明出处】本文版权归作者所有,未经授权不得转载。在这一块还是很弱的,性能上也不大行,如果【本文首发于唐霜的博客】原创内容,盗版必究。真正想用,我们会考虑使用webassem【版权所有】唐霜 www.tangshuang.net【版权所有,侵权必究】bly在浏览器端提供由底层语言编译的加密【原创不易,请尊重版权】未经授权,禁止复制转载。模块,或者在nodejs端使用bind能转载请注明出处:www.tangshuang.net【未经授权禁止转载】力调用c/c++模块来实现。总而言之,J【本文首发于唐霜的博客】原创内容,盗版必究。S的生态还比较脆弱,我们还有很长的路要走转载请注明出处:www.tangshuang.net【转载请注明来源】。
【作者:唐霜】著作权归作者所有,禁止商业用途转载。2023-08-15 4196


